Laika ziņas
Šodien
Viegls lietus
Rīgā +6 °C
Viegls lietus
Ceturtdiena, 26. decembris
Megija, Dainuvīte, Gija

Tā pati Wiper

Kaspersky Lab ir publicējis kaitīgajai programmatūrai Wiper veltītā pētījuma rezultātus. Tā ir tā pati kaitīgā programmatūra, kuras meklēšanu 2012. gada maijā ierosināja Starptautiskā Telesakaru apvienība (ITU), kad mēnesi iepriekš nezināma kaitīgā programmatūra bija izdzēsusi visu informāciju no vairāku Tuvo Austrumu reģionā izvietotu naftas un gāzes nozares rūpniecības objektu datoriem. Toreiz Kaspersky Lab analītiķi atklāja sarežģītu kaitīgo programmatūru Flame, taču atrast Wiper tā arī neizdevās.

Šī pētījuma rezultāti ir balstīti uz Wiper uzbrukumam pakļauto cieto disku attēlu detalizētu analīzi. Tie liecina par kaitīgās programmatūras unikālo darbības algoritmu, kas izraisīja pilnīgi visas informācijas dzēšanu un datorsistēmas iziešanu no ierindas.

Kaspersky Lab ekspertu veiktā analīze apstiprināja, ka kaitīgā programmatūra iznīcināja visus datus, ko varētu izmantot tās atklāšanai. Wiper sabojātas datorsistēmas cietajā diskā saglabātā informācija tika dzēsta bez tās atgūšanas iespējas. Neraugoties uz to, Kaspersky Lab ekspertiem izdevās iegūt ziņas par kaitīgas programmatūras izmantoto īpašo datu dzēšanas metodi, kā arī atsevišķu tās komponentu, piemēram, sistēmas reģistra, nosaukumiem, kas ļāva noteikt no cietā diska izdzēsto datņu nosaukumus. Piemēram, vairāku datņu nosaukumi sākās ar ~D, kas ir līdzīgi programmās Duqu un Stuxnet izmantotajiem datņu nosaukumiem.

Wiper darbības algoritma analīze parādīja, ka īpašā datu dzēšanas metode tika izmantota katrā datorā, kurā bija aktivizēta kaitīgā programmatūra. Destruktīvais algoritms tika lietots efektīvai datu dzēšanai bez to atgūšanas iespējas, turklāt vislielākajā iespējamajā ātrumā: vienlaikus varēja izdzēst gigabaitiem informācijas. 75% pārbaudīto disku dati bija pilnīgi izdzēsti. Galvenokārt uzmanība bija veltīta datu dzēšanai diska pirmās puses telpā. Pēc tam notika atlikušo par sistēmas darbību atbildīgo datņu sistemātiska iznīcināšana, līdz tā pārstāja darboties. Turklāt pētījuma gaitā noskaidrojās, ka īpaša uzmanība tika pievērsta PNF datņu iznīcināšanai. Jāpiezīmē, ka tieši šī veida datnes Duqu un Stuxnet izmantoja sava pamatkoda šifrētai uzglabāšanai.

Pagaidu datnes ar paplašinājumu TMP (Temporary files), kuru nosaukumi sākas ar ~D, ir sastopamas arī trojietī Duqu, kas ir izstādāts, izmantojot to pašu Tilded platformuStuxnet. Balstoties uz šo informāciju, pētnieki sāka meklēt citu nezināmu datņu nosaukumus, kas ir izstrādātas, izmantojot Tilded platformu, un attiecas uz Wiper. Lai to veiktu, tika likta lietā uzraudzības mākoņsistēma Kaspersky Security Network (KSN), kas sniedz Kaspersky Lab ekspertiem telemetrijas datus lietotāja datorā atklāto kaitīgo programmatūru analīzei. Pētījuma gaitā tika konstatēts, ka vairākos Tuvo Austrumu reģionā izvietotos datoros atrodas datne «~DEB93D.tmp». Tās analīze ļāva Kaspersky Lab ekspertiem atklāt Flame, taču Wiper tā arī netika atrasts.

«Mūsu veiktā cieto disku attēlu detalizētā analīze ļauj pamatoti apgalvot, ka pastāv kaitīgā programmatūra Wiper, kas tika izmantota uzbrukumiem vairākām datorsistēmām Tuvajos Austrumos 2012.gada aprīlī, bet varbūt arī agrāk– sākot no 2011.gada decembra,» sacīja Kaspersky Lab galvenais antivīrusu eksperts Aleksandrs Gostevs. «Lai gan mērķtiecīgo Wiper meklējumu gaitā mums izdevās atklāt trojieti Flame, mēs esam pārliecināti, ka tās ir divas pilnīgi dažādas kaitīgās programmatūras ar atšķirīgiem mērķiem. Wiper mērķi, kā arī tās veidotāju noteiktu datņu nosaukumu izmantošana, kuru pēdas mums izdevās atklāt uzbrukumam pakļautajos datoros, ļauj secināt, ka tā ir saistīta ar kaitīgajām programmatūrām, kas izstrādātas, izmantojot Tilded platformu. Turklāt Flame ir pavisam citāda modulārā arhitektūra un tas ir paredzēts kiberspiegošanai. Bez tam Flame nebija destruktīvo funkciju, kas tika atklātas Wiper

Detalizēti kaitīgās programmatūras Wiper pētījuma rezultāti ir pieejami tīmekļa vietnē www.securelist.com.

Uzmanību!

Pieprasītā sadaļa var saturēt erotiskus materiālus, kuru apskatīšana atļauta tikai pilngadību sasniegušām personām.

Seko mums

Seko līdzi portāla Diena.lv jaunākajām ziņām arī sociālajos tīklos!

Ziņas e-pastā

Saņem Diena.lv aktuālās ziņas e-pastā!

LAIKRAKSTA DIENA PUBLIKĀCIJAS

Vairāk LAIKRAKSTA DIENA PUBLIKĀCIJAS


Aktuāli


Interesanti

Vairāk Interesanti


Receptes

Vairāk Receptes


Dzīvnieki

Vairāk Dzīvnieki


Notikumi

Vairāk Notikumi


Cits

Vairāk Cits


Tehnoloģijas

Vairāk Tehnoloģijas


Zirnis joko

Vairāk Zirnis joko